So finden Sie das Programm aus dem Iptables-Protokoll

Testen des Pings unter Ubuntu 22.04:

Host A IPv6: 1111:1111:1111:1111:1111:1111:1111:1111
Host B IPv6: 2222:2222:2222:2222:2222:2222:2222:2222

Gastgeber A:

Führen Sie nun einen Ping von Host A mit dem folgenden Bash-Befehl aus:

root@host_a:~# ping -6 2222:2222:2222:2222:2222:2222:2222:2222

Gastgeber B:

Die iptables haben einige Pakete gelöscht und in der Datei protokolliert:

7. Dez 18:21:52 host_b kernel: [ 988.996335] Ausgabe gelöscht: IN= OUT=ens33 SRC=192.168.1.1 DST=192.168.2.1 LEN=83 TOS=0x00 PREC=0x00 TTL=64 ID=52289 PROTO=UDP SPT=41151 DPT=53 LEN=63 UID=113 GID=118

7. Dez 18:21:52 host_b kernel: [ 988.998359] Ausgabe gelöscht: IN= OUT=ens33 SRC=2222:2222:2222:2222:2222:2222:2222:2222:2222:2222 DST=1111:1111:1111:1111:1111:1111:1111:1111 LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=136 CODE=0

7. Dez 18:21:53 host_b kernel: [ 990.001075] Ausgabe gelöscht: IN= OUT=ens33 SRC=2222:2222:2222:2222:2222:2222:2222:2222:2222:2222 DST=1111:1111:1111:1111:1111:1111:1111:1111 LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=136 CODE=0

Von dort first log linegibt es eine UIDund GIDInfo:

UID=113 GID=118

Wir können den Benutzer mit dieser Methode finden:

root@host_b:~# cat /etc/passwd | grep 113

Für die Zeilen „und“ steht im Protokoll jedoch 2ndkein 3rd„ oder UID“ .GID

Frage:

Wie finden Sie heraus, welches Programm die folgenden Netzwerkpakete sendet?

PROTO=ICMPv6 TYPE=136 CODE=0

Notiz:Basierend auf dem iptables-Protokoll akzeptiert dieses „unbekannte“ Programm eingehende ICMPv6-Pakete und sendet dann ausgehende ICMPv6-Pakete, aber iptables kann die UID und GID dieses „unbekannten“ Programms nicht protokollieren, wenn das Paket per Regel gelöscht wird.